Eksportowanie danych historycznych z usługi QRadar
W tym artykule opisano sposób eksportowania danych historycznych z usługi QRadar. Po wykonaniu kroków opisanych w tym artykule możesz wybrać platformę docelową do hostowania wyeksportowanych danych, a następnie wybrać narzędzie pozyskiwania w celu przeprowadzenia migracji danych.
Aby wyeksportować dane QRadar, należy użyć interfejsu API REST usługi QRadar do uruchamiania zapytań ariel query language (AQL) dotyczących danych przechowywanych w bazie danych Ariel. Ponieważ proces eksportowania intensywnie korzysta z zasobów, zalecamy używanie małych zakresów czasu w zapytaniach i migrowanie tylko potrzebnych danych.
Tworzenie zapytania AQL
W konsoli QRadar wybierz kartę Aktywność dziennika .
Utwórz nowe zapytanie wyszukiwania AQL lub wybierz zapisane zapytanie wyszukiwania, aby wyeksportować dane. Upewnij się, że zapytanie zawiera
START
funkcje iSTOP
, aby ustawić zakres dat i godzin.Dowiedz się, jak używać języka AQL i jak zapisywać kryteria wyszukiwania w języku AQL.
Skopiuj zapytanie AQL do późniejszego użycia.
Zakoduj zapytanie AQL do formatu zakodowanego w adresie URL. Wklej zapytanie skopiowane w kroku 3 do dekodera. Skopiuj zakodowane dane wyjściowe formatu.
Wykonywanie zapytania wyszukiwania
Zapytanie wyszukiwania można wykonać przy użyciu jednej z tych metod.
- Identyfikator użytkownika konsoli QRadar. Aby użyć tej metody, upewnij się, że identyfikator użytkownika konsoli używany do migracji danych jest przypisany do profilu zabezpieczeń , który może uzyskiwać dostęp do danych potrzebnych do eksportu.
- Token interfejsu API. Aby użyć tej metody, wygeneruj token interfejsu API w narzędziu QRadar.
Aby wykonać zapytanie wyszukiwania:
Zaloguj się do systemu, z którego będą pobierane dane historyczne. Upewnij się, że ten system ma dostęp do konsoli QRadar i interfejsu API QRadar na porcie TCP/443 za pośrednictwem protokołu HTTPS.
Aby wykonać zapytanie wyszukiwania, które pobiera dane historyczne, otwórz wiersz polecenia i uruchom jedno z następujących poleceń:
W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
W przypadku metody tokenu interfejsu API uruchom polecenie:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>
Czas wykonywania zadania wyszukiwania może się różnić w zależności od zakresu czasu AQL i ilości zapytanych danych. Zalecamy uruchomienie zapytania w małych zakresach czasu i wykonywanie zapytań tylko o dane potrzebne do eksportu.
Dane wyjściowe powinny zwracać stan, taki jak
COMPLETED
,EXECUTE
, ,WAIT
progress
, wartość isearch_id
wartość. Przykład:
Skopiuj wartość w
search_id
polu . Użyjesz tego identyfikatora, aby sprawdzić postęp i stan wykonywania zapytania wyszukiwania oraz pobrać wyniki po zakończeniu wykonywania wyszukiwania.Aby sprawdzić stan i postęp wyszukiwania, uruchom jedno z następujących poleceń:
W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
W przypadku metody tokenu interfejsu API uruchom polecenie:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Przejrzyj dane wyjściowe. Jeśli wartość w
status
polu toCOMPLETED
, przejdź do następnego kroku. Jeśli stan to nieCOMPLETED
, sprawdź wartość wprogress
polu, a po 5–10 minutach uruchom polecenie uruchomione w kroku 4.Przejrzyj dane wyjściowe i upewnij się, że stan to
COMPELETED
.Uruchom jedno z tych poleceń, aby pobrać wyniki lub zwrócone dane z pliku JSON do folderu w bieżącym systemie:
W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
W przypadku metody tokenu interfejsu API uruchom polecenie:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Aby pobrać dane potrzebne do wyeksportowania, utwórz zapytanie AQL (kroki 1–4) i ponownie wykonaj zapytanie (kroki 1–7). Dostosuj zakres czasu i zapytania wyszukiwania, aby uzyskać potrzebne dane.